[发明专利]一种API访问行为检测方法、装置、设备及存储介质

权利要求书

1.一种API访问行为检测方法，其特征在于，所述方法包括；

根据应用程序接口API地址的访问时间戳确定出预设的至少一个检测时间段中的每个检测时间段的所述API地址的访问频次，其中，每个所述检测时间段的时长相同，每个所述检测时间段之间无重叠；

根据预设的滑动步长和滑动窗口大小对每个检测时间段的所述API地址的访问频次进行滑动窗口统计，得到所述API地址的访问频次序列组，其中，所述访问频次序列组由每个滑动窗口中所述API地址的访问频次序列组成，每个滑动窗口中所述API地址的访问频次序列由每个检测时间段的所述API地址的访问频次组成；

对于所述API地址的访问频次序列组中的每个访问频次序列，利用预设的距离算法确定出用于描述该访问频次序列和预设的至少一个异常特征序列中的每个异常特征序列之间的最小偏差度的最小距离值，其中，该访问频次序列和每个所述异常特征序列均对应一个最小距离值；

对于每个最小距离值，判断该最小距离值是否超过第一目标异常特征序列在预设的阈值数据库中所对应的最小距离阈值，其中，所述第一目标异常特征序列为利用所述距离算法确定出该最小距离值时所使用到的异常特征序列；

对于所述API地址的访问频次序列组中的每个访问频次序列，若该访问频次序列和每个所述异常特征序列的最小距离值均超过其对应的最小距离阈值，则将该访问频次序列中所包含的访问频次所对应的访问行为确定为正常。

2.根据权利要求1所述的方法，其特征在于，所述对于所述API地址的访问频次序列组中的每个访问频次序列，利用预设的距离算法确定出用于描述该访问频次序列和预设的至少一个异常特征序列中的每个异常特征序列之间的最小偏差度的最小距离值，包括：

对于所述API地址的访问频次序列组中的每个访问频次序列，根据预设的归一化算法对该访问频次序列进行归一化处理得到待压缩序列；

利用预设的维度压缩算法对所述待压缩序列进行维度压缩，得到该访问频次序列的压缩序列；

对于每个异常特征序列，将该访问频次序列的压缩序列中的每个序列值和该异常特征序列作为变量带入预设的距离算法中确定出用于描述该访问频次序列和该异常特征序列之间的最小偏差度的最小距离值。

3.根据权利要求1所述的方法，其特征在于，在判断该最小距离值是否超过第一目标异常特征序列在预设的阈值数据库中所对应的最小距离阈值后，所述方法还包括：

对于所述API地址的访问频次序列组中的每个访问频次序列，若该访问频次序列和每个所述异常特征序列的最小距离值中出现未超过其对应的最小距离阈值的情况，则利用预设的欧氏距离算法确定出该访问频次序列和每个所述异常特征序列之间的欧氏距离值，其中，每个所述异常特征序列与该访问频次序列均具有一个欧氏距离值；

对于每个欧氏距离值，判断该欧氏距离值是否超过第二目标异常特征序列在所述阈值数据库中所对应的标准欧氏距离值，其中，所述第二目标异常特征序列为利用所述欧氏距离算法确定出该欧氏距离值时所使用到的异常特征序列；

对于所述API地址的访问频次序列组中的每个访问频次序列，若该访问频次序列和每个所述异常特征序列的欧氏距离值均超过其对应的标准欧氏距离值，则将该访问频次序列中所包含的访问频次所对应的访问行为确定为正常。

4.根据权利要求3所述的方法，其特征在于，在判断该欧氏距离值是否超过第二目标异常特征序列在所述阈值数据库中所对应的标准欧氏距离值后，所述方法还包括：

对于所述API地址的访问频次序列组中的每个访问频次序列，若该访问频次序列和每个所述异常特征序列的欧氏距离值中出现未超过其对应的标准欧氏距离值的情况，则将该访问频次序列中所包含的访问频次所对应的访问行为确定为异常。

5.根据权利要求4所述的方法，其特征在于，在将该访问频次序列中所包含的访问频次所对应的访问行为确定为异常后，所述方法还包括：

将所述第二目标异常特征序列在预设的异常信息数据库中所对应的目标异常信息向用户进行展示。